So managen Sie erfolgreich einen Ransomware-Recovery-Prozess

Eine Bestandsaufnahme der Situation machen

Die Liste der betroffenen Systeme und virtuellen Maschinen (VMs) wird nicht umfassend sein. Man wird mit den Maschinen starten müssen, die Vorrang haben, und produktive Server gehören nicht unbedingt in diese Kategorie. Wenn dagegen das Active Directory ausfällt, dann werden mit Sicherheit auch die meisten produktiven Server – sowie die IT-Infrastruktur-Systeme – nicht korrekt laufen, selbst wenn sie nicht direkt betroffen sind.

Wenn man mit dem Recovery nach einer Ransomware-Attacke beginnt, sollte man noch vor allen anderen Sachen die Backups überprüfen. Zu viele Anwender haben verschlüsselte VMs gelöscht, nur um dann herauszufinden, dass die Malware ihre Backup-Systeme zerstört hat und sie sich so endgültig in einer Misere befinden. Fehler passieren, wenn man zu rasch und unüberlegt vorgeht.

Eine relativ einfache Methode der Wiederherstellung von Servern gibt es, wenn die Backups intakt, aktuell und betriebsfähig sind. Der Wiederherstellungsprozess muss getestet werden, bevor man irgendwelche VMs löscht. Anstatt betroffene Maschinen zu entfernen, sollte man sie auf ein niedrigere Speicherebene, ein externes oder sogar auf ein lokales Speichersystem auf einem Host verlagern. Das Ziel muss sein, die verschlüsselten VMs aus dem Weg zu räumen und sich selbst Platz zum Arbeiten zu verschaffen, danach die Restores zu versuchen und die VMs wieder zum Laufen zu bringen, bevor man ihre verschlüsselten Gegenstücke entfernt.

Zeit für schwierige Entscheidungen

Wenn die Attacke das Backup-System korrumpiert hat oder das Ransomware-Recovery gescheitert ist, wird die höhere Unternehmensleitung einige Entscheidungen zu fällen haben. Auf die IT-Abteilung werden ein paar schwierige Gespräche zukommen, weil die Verantwortung für die Backups und ihre Zuverlässigkeit teilweise bei ihr liegt. Es ist durchaus möglich, dass es aus verschiedenen Gründen nicht die Schuld der IT-Abteilung ist – zum Beispiel wegen ihrer unzureichenden finanziellen Ausstattung. Dies wird zu Gesprächen zu einem späteren Zeitpunkt führen. Im Moment müssen aber Entscheidungen getroffen werden: das Lösegeld bezahlen, die Systeme wiederherstellen oder einen Bericht aufsetzen.

Entsprechende Berichte erfordern die Einbeziehung des höheren Managements und der Rechtsabteilung des Unternehmens. Wenn man für eine Regierungsorganisation oder für ein öffentliches Unternehmen arbeitet, wird man vermutlich sehr spezielle Richtlinien haben, denen man aus rechtlichen Gründen folgen muss. Wenn man für ein privates Unternehmen arbeitet, wird es immer noch rechtliche Festlegungen mit den Kunden darüber geben, was man bekanntgeben kann und was nicht. Egal was man sagt, es wird immer die Möglichkeit geben, dass man nicht richtig verstanden wird. Man wird natürlich offene Beziehungen mit seinen Kunden anstreben, aber man wird auch sehr aufmerksam sein und darauf achten müssen, wieviel Daten man letztlich öffentlich bekannt macht.

Es gibt weitere Aspekte im Zusammenhang mit der Erstellung von Berichten. Vielleicht war das Unternehmen kein bevorzugtes Angriffsziel, wenn man von einer älteren Ransomware-Variante betroffen war. In diesem Fall gibt es inzwischen vielleicht sogar ein Entschlüsselungs-Tool. Es mag reine Spekulation sein, könnte aber einen gewissen Aufwand lohnen, bevor man wieder ganz bei Null anfängt.

Das Lösegeld zu bezahlen sehen einige Firmen als eine Möglichkeit, obwohl es keineswegs empfehlenswert ist und eher davon abgeraten werden sollte. Man muss gegeneinander abwägen, wie teuer ein Wiederaufbau der IT im Verhältnis zu einer schnellen Bezahlung des Lösegelds sein würde. Es wäre mit Sicherheit keine einfache Lösung, zumal eine Bezahlung mit keinerlei Garantien verbunden ist, dass die gekaperten Daten und Systeme freigegeben werden. Die meisten Unternehmen, die das Lösegeld bezahlen, geben in der Regel nicht bekannt, dass sie gezahlt haben oder dass sie sogar angegriffen wurden.

Die wirkliche Herausforderung bei der Alternative eines Neuaufbaus der IT oder einiger Systeme besteht in den damit verbundenen Aufwendungen. Es gibt relativ wenige Unternehmen mit Mitarbeitern, die alle Aspekte ihrer IT-Umgebungen vollständig verstehen. Viele IT-Infrastrukturen sind das gemeinsame Resultat von eigenen Experten und von externen Consultants. Mitarbeiter installieren Systeme und nehmen ihr Wissen mit sich, wenn sie das Unternehmen verlassen. Ihre Nachfolger lernen mit der Zeit, wie man diese Systeme am Laufen erhält, doch das unterscheidet sich sehr stark von ihrer Installation oder ihrem ursprünglichen Aufbau vom Nullpunkt an. Schon die Reparatur eines Active Directory stellt eine Herausforderung dar, aber ein solches mit Tausenden von Anwendern und Gruppen mit ihren Erlaubnissen auf Basis von Dokumentationen zu rekonstruieren ist selbst mit etwas Glück fast unmöglich – außer man verfügt über viel Zeit und Erfahrung.

Ein Recovery-Prozess nach einer Ransomware-Attacke ist schon deshalb keine einfache Aufgabe, weil sich die Situationen nicht ähneln. Wenn die Schutzanstrengungen und das Backup versagen, wird die Rekonstruktion nicht einfach oder billig sein. Man wird entweder das Lösegeld bezahlen müssen oder man muss in Überstunden und Consultants investieren, um geschäftskritische Systeme wiederherzustellen. Die Kunden eines Unternehmens werden aller Voraussicht nach merken, was während der Rekonstruktionsphase passiert, weshalb man einen Kommunikationsplan und Kontaktmöglichkeiten während des Übergangs einrichten sollte.

Eine Ransomware-Attacke ist keineswegs eine Sache, die nur die IT-Abteilung etwas angeht. Die zu treffenden Entscheidungen und der Weg zurück zur Normalität werden mehrere Akteure betreffen und ernsthafte Kosten verursachen. Man sollte im voraus planen und eventuell anfallende Schritte festlegen, um schlechte Alternativen auszuschließen, die man dann nicht mehr rückgängig machen kann.